אימות אסימונים מזהים

אם אפליקציית הלקוח שלכם ב-Firebase מתקשרת עם שרת קצה עורפי בהתאמה אישית, יכול להיות שתצטרכו לזהות את המשתמש שמחובר כרגע בשרת הזה. כדי לעשות זאת בצורה מאובטחת, אחרי כניסה מוצלחת לחשבון, שולחים את אסימון הזהות של המשתמש לשרת באמצעות HTTPS. לאחר מכן, בשרת, מאמתים את השלמות והמקוריות של אסימון המזהה ומאחזרים ממנו את uid. אפשר להשתמש ב-uid שמועבר בצורה הזו כדי לזהות בצורה מאובטחת את המשתמש שמחובר כרגע לשרת שלכם.

לפני שמתחילים

כדי לאמת אסימוני מזהה באמצעות Firebase Admin SDK, צריך חשבון שירות. מידע נוסף על הפעלה של Admin SDK באמצעות חשבון שירות זמין בהוראות ההגדרה של Admin SDK.

אחזור של אסימוני מזהה בלקוחות

כשמשתמש או מכשיר נכנסים לחשבון, Firebase יוצר אסימון מזהה תואם שמזהה אותם באופן ייחודי ומעניק להם גישה למספר משאבים, כמו Firebase Realtime Database ו-Cloud Storage. אפשר להשתמש מחדש באסימון המזהה הזה כדי לזהות את המשתמש או המכשיר בשרת העורפי המותאם אישית. כדי לאחזר את טוקן ה-ID מהלקוח, מוודאים שהמשתמש מחובר לחשבון ואז מאחזרים את טוקן ה-ID מהמשתמש המחובר:

FIRUser *currentUser = [FIRAuth auth].currentUser;
[currentUser getIDTokenForcingRefresh:YES
                           completion:^(NSString *_Nullable idToken,
                                        NSError *_Nullable error) {
          if (error) {
            // Handle error
            return;
          }

          // Send token to your backend via HTTPS
          // ...
}];

let currentUser = FIRAuth.auth()?.currentUser
currentUser?.getIDTokenForcingRefresh(true) { idToken, error in
  if let error = error {
    // Handle error
    return;
  }

  // Send token to your backend via HTTPS
  // ...
}

FirebaseUser mUser = FirebaseAuth.getInstance().getCurrentUser();
mUser.getIdToken(true)
    .addOnCompleteListener(new OnCompleteListener<GetTokenResult>() {
        public void onComplete(@NonNull Task<GetTokenResult> task) {
            if (task.isSuccessful()) {
                String idToken = task.getResult().getToken();
                // Send token to your backend via HTTPS
                // ...
            } else {
                // Handle error -> task.getException();
            }
        }
    });

Firebase.Auth.FirebaseUser user = auth.CurrentUser;
user.TokenAsync(true).ContinueWith(task => {
  if (task.IsCanceled) {
    Debug.LogError("TokenAsync was canceled.");
   return;
  }

  if (task.IsFaulted) {
    Debug.LogError("TokenAsync encountered an error: " + task.Exception);
    return;
  }

  string idToken = task.Result;

  // Send token to your backend via HTTPS
  // ...
});

firebase::auth::User user = auth->current_user();
if (user.is_valid()) {
  firebase::Future<std::string> idToken = user.GetToken(true);

  // Send token to your backend via HTTPS
  // ...
}

firebase.auth().currentUser.getIdToken(/* forceRefresh */ true).then(function(idToken) {
  // Send token to your backend via HTTPS
  // ...
}).catch(function(error) {
  // Handle error
});

אחרי שמקבלים אסימון מזהה, אפשר לשלוח את ה-JWT הזה לשרת העורפי ולאמת אותו באמצעות Firebase Admin SDK, או באמצעות ספריית JWT של צד שלישי אם השרת כתוב בשפה ש-Firebase לא תומכת בה באופן מקורי.

אימות של טוקנים של מזהים באמצעות Firebase Admin SDK

ל-Firebase Admin SDK יש שיטה מובנית לאימות ולפענוח של טוקנים של מזהים. אם טוקן המזהה שסופק הוא בפורמט הנכון, לא פג התוקף שלו והוא חתום בצורה תקינה, השיטה מחזירה את טוקן המזהה המפוענח. אפשר לאחזר את uid של המשתמש או המכשיר מהאסימון המפוענח.

כדי לאתחל את Admin SDK באמצעות חשבון שירות, פועלים לפי ההוראות להגדרת Admin SDK. לאחר מכן, משתמשים בשיטה verifyIdToken() כדי לאמת אסימון מזהה:

// idToken comes from the client app
getAuth()
  .verifyIdToken(idToken)
  .then((decodedToken) => {
    const uid = decodedToken.uid;
    // ...
  })
  .catch((error) => {
    // Handle error
  });

// idToken comes from the client app (shown above)
FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
String uid = decodedToken.getUid();

# id_token comes from the client app (shown above)

decoded_token = auth.verify_id_token(id_token)
uid = decoded_token['uid']

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatalf("error verifying ID token: %v\n", err)
}

log.Printf("Verified ID token: %v\n", token)
auth.go

FirebaseToken decodedToken = await FirebaseAuth.DefaultInstance
    .VerifyIdTokenAsync(idToken);
string uid = decodedToken.Uid;

כדי לאמת אסימון מזהה, צריך מזהה פרויקט. ה-SDK של Firebase Admin מנסה לקבל מזהה פרויקט באחת מהשיטות הבאות:

• אם ה-SDK אותחל עם אפשרות אפליקציה מפורשת projectId, ה-SDK משתמש בערך של האפשרות הזו.
• אם ה-SDK אותחל באמצעות פרטי כניסה של חשבון שירות, ה-SDK משתמש בשדה project_id של אובייקט ה-JSON של חשבון השירות.
• אם משתנה הסביבה GOOGLE_CLOUD_PROJECT מוגדר, ה-SDK משתמש בערך שלו כמזהה הפרויקט. משתנה הסביבה הזה זמין לקוד שפועל בתשתית של Google, כמו App Engine ו-Compute Engine.

אימות אסימוני מזהה באמצעות ספריית JWT של צד שלישי

אם ה-Backend שלכם כתוב בשפה שלא נתמכת על ידי Firebase Admin SDK, עדיין תוכלו לאמת את טוקני הזהות. קודם כל, מחפשים ספריית JWT של צד שלישי בשפה שלכם. לאחר מכן, מאמתים את הכותרת, את מטען הייעודי (payload) ואת החתימה של אסימון הזהות.

בודקים שכותרת אסימון המזהה עומדת במגבלות הבאות:

צריך לוודא שהמטען הייעודי (payload) של טוקן ה-ID עומד במגבלות הבאות:

לבסוף, מוודאים שאסימון המזהה נחתם על ידי המפתח הפרטי שמתאים להצהרת kid של האסימון. מאחזרים את המפתח הציבורי מ-https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com ומשתמשים בספריית JWT כדי לאמת את החתימה. כדי לדעת מתי לרענן את המפתחות הציבוריים, צריך להשתמש בערך של max-age בכותרת Cache-Control של התשובה מנקודת הקצה הזו.

אם כל האימותים שלמעלה יתבצעו בהצלחה, תוכלו להשתמש בנושא (sub) של אסימון המזהה כ-uid של המשתמש או המכשיר המתאימים.